AVV - Data Processing Agreement

The English Version of this document shall be a convenience translation only. The binding language of this document shall be German. The German version of this document shall prevail.

Zwischen

Ihnen als Kunde

(nachfolgend „Auftraggeber“)

und

circuly GmbH, Obernstraße 50, 33602 Bielefeld, Germany

(nachfolgend “Auftragnehmer“)


- Auftraggeber und Auftragnehmer nachfolgend jeder auch "Partei" und gemeinsam "Parteien" -


Präambel

Der Auftragnehmer erbringt für den Auftraggeber Leistungen gemäß dem zwischen ihnen geschlossenen Lizenzvertrag (im Folgenden: "Hauptvertrag"). Teil der Durchführung des Hauptvertrags ist die Verarbeitung von personenbezogenen Daten im Sinne der Datenschutzgrundverordnung ("DSGVO"). Zur Erfüllung der Anforderungen der DSGVO an derartige Konstellationen schließen die Parteien den nachfolgenden Auftragsverarbeitungsvertrag (auch „Vertrag“), der mit Unterzeichnung bzw. Wirksamwerden des Hauptvertrages zustande kommt.

§ 1 Gegenstand/Umfang der Beauftragung

(1) Im Rahmen der Zusammenarbeit der Parteien nach Maßgabe des Hauptvertrages hat der Auftragnehmer Zugriff auf personenbezogene Daten des Auftraggebers (nachfolgend "Auftraggeberdaten"). Diese Auftraggeberdaten verarbeitet der Auftragnehmer im Auftrag und nach Weisung des Auftraggebers im Sinne von Art. 4 Nr. 8 und Art. 28 DSGVO.

(2) Die Verarbeitung der Auftraggeberdaten durch den Auftragnehmer erfolgt in der in Anlage 1 beschriebenen Art sowie in dem dort spezifizierten Umfang und Zweck. Der Kreis der von der Datenverarbeitung betroffenen Personen wird dargestellt. Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrages.

Ob die Leistungen des Auftragnehmers für die Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO geeignet sind, bedarf einer Risikobewertung durch den Auftraggeber.

(3) Dem Auftragnehmer ist eine von den in Anlage 1 genannten Verarbeitungen abweichende Verarbeitung von Auftraggeberdaten untersagt.

(4) Die Verarbeitung der Auftraggeberdaten findet grds. im Gebiet der Bundesrepublik Deutschland, in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Sollte es eine Verlagerung der Auftragsverarbeitung in ein Drittland geben, bedarf dies der vorherigen Zustimmung des Auftraggebers und erfolgt nur, wenn die besonderen Voraussetzungen der Art. 44 bis 49 DSGVO erfüllt sind. Der Auftraggeber stimmt bereits bei Abschluss dieses Auftragsverarbeitungsvertrages der Verarbeitung personenbezogener Daten durch die in Anlage 1 genannten Subunternehmen zu.

(5) Die Bestimmungen dieses Vertrages finden Anwendung auf alle Tätigkeiten, die mit dem Hauptvertrag in Zusammenhang stehen. Gleiches gilt für alle Tätigkeiten, bei denen der Auftragnehmer und seine Beschäftigten oder durch den Auftragnehmer Beauftragte mit Auftraggeberdaten in Berührung kommen.

§ 2 Weisungsbefugnisse des Auftraggebers

(1) Der Auftragnehmer verarbeitet die Auftraggeberdaten im Rahmen der Beauftragung und im Auftrag und nach Weisung des Auftraggebers i.S.v. Art. 28 DSGVO (Auftragsverarbeitung). Der Auftraggeber hat das alleinige Recht, Weisungen über Art, Umfang, und Methode der Verarbeitungstätigkeiten zu erteilen (nachfolgend auch "Weisungsrecht"). Wird der Auftragnehmer durch das Recht der Europäischen Union oder der Mitgliedstaaten, dem er unterliegt, zu weiteren Verarbeitungen verpflichtet, teilt er dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit.

(2) Weisungen werden vom Auftraggeber grundsätzlich schriftlich oder in elektronischer Form (E-Mail ausreichend) erteilt; mündlich erteilte Weisungen sind vom Auftragnehmer in elektronischer Form zu bestätigen.                               

(3) Ist der Auftragnehmer der Ansicht, dass eine Weisung des Auftraggebers gegen datenschutzrechtliche Bestimmungen verstößt, hat er den Auftraggeber darauf hinzuweisen. Der Auftragnehmer ist berechtigt, die Durchführung der betreffenden Weisung solange auszusetzen, bis diese durch den Auftraggeber bestätigt oder geändert wird.

§ 3 Schutzmaßnahmen des Auftragnehmers

(1) Der Auftragnehmer ist verpflichtet, die gesetzlichen Bestimmungen über den Datenschutz zu beachten und die aus dem Bereich des Auftraggebers erlangten Informationen nicht an Dritte weiterzugeben oder deren Zugriff auszusetzen. Unterlagen und Daten sind gegen die Kenntnisnahme durch Unbefugte unter Berücksichtigung des Stands der Technik zu sichern.

(2) Ferner wird der Auftragnehmer alle Personen, die von ihm mit der Bearbeitung und der Erfüllung dieses Vertrages betraut werden (im Folgenden "Mitarbeiter" genannt), zur Vertraulichkeit verpflichten (Verpflichtung zur Vertraulichkeit, Art. 28 Abs. 3 lit. b DSGVO). Auf Verlangen des Auftraggebers wird der Auftragnehmer dem Auftraggeber die Verpflichtung der Mitarbeiter schriftlich oder in elektronischer Form nachweisen.

(3) Der Auftragnehmer wird seine innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er verpflichtet sich, alle geeigneten technischen und organisatorischen Maßnahmen zum angemessenen Schutz der Auftraggeberdaten gem. Art. 32 DSGVO, insbesondere die in Anlage 2 zu diesem Vertrag aufgeführten Maßnahmen, zu ergreifen und diese für die Dauer der Verarbeitung der Auftraggeberdaten aufrecht zu erhalten.

(4) Eine Änderung der getroffenen technischen und organisatorischen Maßnahmen bleibt dem Auftragnehmer vorbehalten, wobei er sicherstellt, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird.

(5) Auf Verlangen des Auftraggebers wird der Auftragnehmer dem Auftraggeber die Einhaltung der technischen und organisatorischen Maßnahmen nachweisen.

§ 4 Informations- und Unterstützungspflichten des Auftragnehmers

(1) Bei Störungen, Verdacht auf Datenschutzverletzungen oder Verletzungen vertraglicher Verpflichtungen des Auftragnehmers, Verdacht auf sicherheitsrelevante Vorfälle oder andere Unregelmäßigkeiten bei der Verarbeitung der Auftraggeberdaten durch den Auftragnehmer, bei ihm im Rahmen des Auftrags beschäftigten Personen oder durch Dritte, wird der Auftragnehmer den Auftraggeber unverzüglich, spätestens aber innerhalb von 48 Stunden in Schriftform oder elektronischer Form informieren. Dasselbe gilt für Prüfungen des Auftragnehmers durch die Datenschutz-Aufsichtsbehörde. Diese Meldungen sollten jeweils zumindest die in Art. 33 Absatz 3 DSGVO genannten Angaben enthalten.

(2) Der Auftragnehmer wird den Auftraggeber im o.g. Falle bei der Erfüllung seiner diesbezüglichen Aufklärungs-, Abhilfe- und Informationsmaßnahmen im Rahmen des zumutbaren unterstützen.

(3) Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf dessen Anforderung innerhalb angemessener Frist alle Auskünfte und Nachweise zur Verfügung zu stellen, die zur Durchführung einer Kontrolle erforderlich sind.

§ 5 Sonstige Verpflichtungen des Auftragnehmers

(1) Der Auftragnehmer ist, sofern die Voraussetzungen des Art. 30 DSGVO auf ihn zutreffen, verpflichtet, ein Verzeichnis zu allen Kategorien von im Auftrag des Auftraggebers durchgeführten Tätigkeiten der Verarbeitung gem. Art. 30 Absatz 2 DSGVO zu führen. Das Verzeichnis ist dem Auftraggeber auf Verlangen zur Verfügung zu stellen.

(2) Der Auftragnehmer ist verpflichtet, den Auftraggeber bei der Erstellung einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO und einer etwaigen vorherigen Konsultation der Aufsichtsbehörde nach Art. 36 DSGVO zu unterstützen.

(3) Der Auftragnehmer bestätigt, dass er – soweit eine gesetzliche Verpflichtung hierzu besteht – einen Datenschutzbeauftragten bestellt hat.

(4) Sollten die Auftraggeberdaten beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren, sofern ihm dies nicht durch gerichtliche oder behördliche Anordnung untersagt ist. Der Auftragnehmer wird in diesem Zusammenhang alle zuständigen Stellen unverzüglich darüber informieren, dass die Entscheidungshoheit über die Daten ausschließlich beim Auftraggeber als „Verantwortlichem“ im Sinne der DSGVO liegt.

§ 6 Subunternehmerverhältnisse

(1) Der Auftragnehmer darf die Verarbeitung personenbezogener Daten ganz oder teilweise durch weitere Auftragsverarbeiter (nachfolgend „Unterauftragnehmer“) erbringen lassen. Der Auftragnehmer informiert den Auftraggeber in Textform rechtzeitig vorab über die Beauftragung von Unterauftragnehmern oder Änderungen in der Unterbeauftragung. Der Auftraggeber kann bei Vorliegen sachlicher Gründe der Unterbeauftragung innerhalb von vier Wochen nach Kenntnisnahme in Textform widersprechen.

(2) Ein Subunternehmerverhältnis im Sinne dieser Bestimmungen liegt nicht vor, wenn der Auftragnehmer Dritte mit Dienstleistungen beauftragt, die als reine Nebenleistungen anzusehen sind. Dazu gehören z.B. Post-,Transport- und Versandleistungen, Reinigungsleistungen, Bewachungsdienste, Telekommunikationsleistungen ohne konkreten Bezug zu Leistungen, die der Auftragnehmer für den Auftraggeber erbringt sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen. Die Pflicht des Auftragnehmers, auch in diesen Fällen die Beachtung von Datenschutz und Datensicherheit sicherzustellen, bleibt unberührt.

(3) Der Auftragnehmer wird mit dem Unterauftragnehmer die in diesem AVV getroffenen Regelungen inhaltsgleich vereinbaren. Insbesondere müssen die mit dem Unterauftragnehmer zu vereinbarenden TOM ein gleichwertiges Schutzniveau aufweisen.

(4) Der Auftragnehmer hat mit den in Anlage 1 genannten Unternehmen Subunternehmerverhältnisse begründet, denen der Auftraggeber mit Abschluss dieses Auftragsverarbeitungsvertrages zustimmt:

(5) Mit den Unterauftragnehmern hat der Auftragnehmer den Anforderungen aus § 6 Abs. 3 entsprechende Auftragsverarbeitungsverträge geschlossen. Mit Wirksamwerden dieses AVV genehmigt der Auftraggeber die vorgenannten Unterauftragnehmer.

Bestandteil der Auftragsverarbeitungsverträge mit den Unterauftragnehmern ist insbesondere auch, dass die Unterauftragnehmer sicherstellen, ihrerseits angemessene und geeignete technische und organisatorische Maßnahmen nach Art. 32 DSGVO wegen der von ihnen im Auftrag durchgeführten Verarbeitungen personenbezogener Daten getroffen zu haben.

§ 7 Kontrollrechte

(1) Der Auftraggeber ist berechtigt, sich regelmäßig von der Einhaltung der Regelungen dieses Vertrages zu überzeugen. Hierfür kann er z.B. Auskünfte des Auftragnehmers einholen, sich vorhandene Testate von Sachverständigen, Zertifizierungen oder internen Prüfungen vorlegen lassen oder die technischen und organisatorischen Maßnahmen des Auftragnehmers zu den üblichen Geschäftszeiten selbst persönlich bzw. durch einen sachkundigen Dritten prüfen lassen, sofern dieser nicht in einem Wettbewerbsverhältnis zum Auftragnehmer steht.

(2) Der Auftraggeber wird Kontrollen nur im erforderlichen Umfang durchführen und angemessene Rücksicht auf die Betriebsabläufe des Auftragnehmers nehmen. Über den Zeitpunkt sowie die Art der Prüfung verständigen sich die Parteien rechtzeitig.

(3) Der Auftraggeber dokumentiert das Kontrollergebnis und teilt es dem Auftragnehmer mit. Bei Fehlern oder Unregelmäßigkeiten, die der Auftraggeber insbesondere bei der Prüfung von Auftragsergebnissen feststellt, hat er den Auftragnehmer unverzüglich zu informieren. Werden bei der Kontrolle Sachverhalte festgestellt, deren zukünftige Vermeidung Änderungen des angeordneten Verfahrensablaufs erfordern, teilt der Auftraggeber dem Auftragnehmer die notwendigen Verfahrensänderungen unverzüglich mit.

§ 8 Rechte Betroffener

(1) Der Auftragnehmer unterstützt den Auftraggeber nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung von dessen Pflichten nach Art. 12 bis 22 sowie Art. 32 bis 36 DSGVO. Er wird dem Auftraggeber unverzüglich, spätestens aber innerhalb von 14 Werktagen, die gewünschte Auskunft über Auftraggeberdaten geben, sofern der Auftraggeber nicht selbst über die entsprechenden Informationen verfügt.

(2) Macht der Betroffene seine Rechte gemäß Art. 16 bis 18 DSGVO geltend, ist der Auftragnehmer dazu verpflichtet, die Auftraggeberdaten auf Weisung des Auftraggebers unverzüglich, spätestens binnen einer Frist von 7 Werktagen zu berichtigen, löschen oder einzuschränken.

(3) Macht ein Betroffener Rechte, etwa auf Auskunftserteilung, Berichtigung oder Löschung hinsichtlich seiner Daten, unmittelbar gegenüber dem Auftragnehmer geltend, wird der Auftragnehmer dieses Ersuchen an den Auftraggeber weiterleiten und wartet dessen Weisungen ab. Ohne entsprechende Einzelweisung wird der Auftragnehmer nicht mit der betroffenen Person in Kontakt treten.

§ 9 Laufzeit und Kündigung

Die Laufzeit dieses Vertrags entspricht der Laufzeit des Hauptvertrags. Er endet damit automatisch mit Beendigung des Hauptvertrags. Ist der Hauptvertrag ordentlich kündbar, gelten die Regelungen zur ordentlichen Kündigung für diesen Vertrag entsprechend. Sollte der Auftragnehmer vor Ablauf des Hauptvertrages keine Auftraggeberdaten mehr verarbeiten, endet dieser Vertrag ebenfalls automatisch.  

§ 10 Löschung und Rückgabe nach Vertragsende

(1) Der Auftragnehmer wird dem Auftraggeber nach Beendigung des Hauptvertrags oder jederzeit auf dessen Verlangen alle ihm überlassenen Unterlagen, Daten und Datenträger zurückgeben oder auf Wunsch des Auftraggebers, sofern nicht eine gesetzliche Aufbewahrungsfrist besteht, vollständig und unwiderruflich löschen. Dies gilt auch für Vervielfältigungen der Auftraggeberdaten beim Auftragnehmer, wie etwa Datensicherungen, nicht aber für Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Verarbeitung der Auftraggeberdaten dienen. Solche Dokumentationen sind vom Auftragsnehmer für eine Dauer von 6 Monaten aufzubewahren und auf Verlangen an den Auftragsgeber herauszugeben.

(2) Der Auftragnehmer wird dem Auftraggeber die Löschung elektronisch bestätigen. Der Auftraggeber hat das Recht, die vollständige und vertragsgerechte Rückgabe bzw. Löschung der Daten beim Auftragnehmer in geeigneter Weise zu kontrollieren.

(3) Der Auftragnehmer ist verpflichtet, auch über das Ende des Hauptvertrags hinaus die ihm im Zusammenhang mit dem Hauptvertrag bekannt gewordenen Daten vertraulich zu behandeln.

§ 11 Haftung

(1) Die Haftung der Parteien richtet sich nach Art. 82 DSGVO. Eine Haftung des Auftragnehmers gegenüber dem Auftraggeber wegen Verletzung von Pflichten aus diesem Vertrag oder dem Hauptvertrag bleibt hiervon unberührt.

(2) Die Parteien stellen sich jeweils von der Haftung frei, wenn eine Partei nachweist, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden bei einem Betroffenen eingetreten ist, verantwortlich ist. Dies gilt im Falle einer gegen eine Partei verhängte Geldbuße entsprechend, wobei die Freistellung in dem Umfang erfolgt, in dem die jeweils andere Partei Anteil an der Verantwortung für den durch die Geldbuße sanktionierten Verstoß trägt.

§ 12 Vertraulichkeit & Datengeheimnis

(1) Der Auftragnehmer verpflichtet sich, die gleichen Geheimnisschutzregeln zu beachten, wie sie dem Auftraggeber obliegen.

(2) Es besteht eine Verschwiegenheitspflicht für die Mitarbeiter des Auftragnehmers und durch ihn beauftragte Dritte. Der Auftragnehmer hat die bei der Verarbeitung von Auftraggeberdaten beschäftigten Personen gemäß Art. 28 Abs. 3 lit. b DSGVO schriftlich auf die Vertraulichkeit zu verpflichten. Dies ist nicht erforderlich, wenn die beschäftigten Personen bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Der Auftragnehmer wird die in dieser Ziffer niedergelegte Verpflichtung schriftlich dokumentieren und sie auf Verlangen des Auftraggebers diesem vorlegen.

(3) Der Auftragnehmer bestätigt, dass ihm die einschlägigen datenschutzrechtlichen Vorschriften bekannt sind. Der Auftragnehmer sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und er diese auf die Einhaltung der geltenden Datenschutzvorschriften zu verpflichten. Er überwacht die Einhaltung der datenschutzrechtlichen Vorschriften.

(4) Diese in dieser Ziffer geregelten Verschwiegenheitspflichten besteht auch nach der Beendigung des Vertragsverhältnisses fort.

(5) Darüber hinaus ist der Auftragnehmer neben den jeweils geltenden gesetzlichen Bestimmungen (insbesondere § 88 TKG, § 203 StGB, §§ 4, 23 GeschGehG sowie ggf. besondere berufsständische Verschwiegenheitspflichten) auch verpflichtet, alle Informationen und Daten, die ihm im Rahmen der vertraglich vereinbarten Leistungen zur Kenntnis gelangen, geheim zu halten und nicht an Dritte weiterzugeben (vertrauliche Informationen). Vertrauliche Informationen sind insbesondere Geschäfts- und Betriebsgeheimnisse, Vertragsschlüsse, technische oder kaufmännische Informationen jedweder Art bzw. anderweitige Angaben, die als vertraulich bezeichnet oder ihrer Natur nach als vertraulich anzusehen sind. Dies gilt insbesondere auch für:

Namen, Anschriften sowie die persönlichen, rechtlichen und wirtschaftlichen Verhältnisse aller Kunden vom Auftraggeber und die persönlichen, rechtlichen und wirtschaftlichen Verhältnisse vom Auftraggeber und aller anderen für Auftraggeber tätigen Personen.

Eine Information ist nicht als vertraulich anzusehen, wenn sie zu der Zeit, zu der der Auftragnehmer von der Information Kenntnis erlangt hat, bereits öffentlich bekannt gewesen ist. Ebenso als nicht vertraulich sind solche Informationen anzusehen, die zeitlich später mit Zustimmung des Auftraggebers öffentlich bekannt geworden sind bzw. bekannt gemacht wurden.

Der Auftragnehmer verpflichtet sich, sämtliche Mitarbeiter, die im Rahmen der Tätigkeit für Auftraggeber Kenntnis von vorgenannten vertraulichen Informationen von Auftraggeber erlangen, ebenso wie sich selbst zu verpflichten.

(6) Beauftragt der Auftragnehmer Dritte, hat er dafür Sorge zu tragen, dass die Forderungen der Absätze 1 bis 5 entsprechend umgesetzt werden.

§ 13 Schlussbestimmungen

(1) Die Parteien sind sich darüber einig, dass die Einrede des Zurückbehaltungsrechts durch den Auftragnehmer iSd § 273 BGB hinsichtlich der zu verarbeitenden Daten und der zugehörigen Datenträger ausgeschlossen ist.

(2) Änderungen und Ergänzungen dieser Vereinbarung bedürfen der elektronischen Form.

(3) Die Regelungen dieses Vertrags gehen im Zweifel den Regelungen des Hauptvertrags vor. Sollten sich einzelne Bestimmungen dieser Vereinbarung ganz oder teilweise als unwirksam oder undurchführbar erweisen oder infolge Änderungen einer Gesetzgebung nach Vertragsabschluss unwirksam oder undurchführbar werden, wird dadurch die Wirksamkeit der übrigen Bestimmungen nicht berührt. An die Stelle der unwirksamen oder undurchführbaren Bestimmung soll die wirksame und durchführbare Bestimmung treten, die dem Sinn und Zweck der nichtigen Bestimmung möglichst nahekommt.

(4) Diese Vereinbarung unterliegt deutschem Recht. Ausschließlicher Gerichtsstand ist der Sitz des Auftragnehmers.

 

Anlagen   

Anlage 1       Festlegungen zum Vertrag

Anlage 2       Technische und organisatorische Maßnahmen des Auftragnehmers (Art. 32 DSGVO)
















Anlage 1 – Festlegungen zum Vertrag

 

  Gegenstand und Dauer des Auftrages

  Übersicht der Anforderungen und Festlegungen

(1) Hauptvertrag

Lizenzvertrag

(2) Gegenstand des Auftrages

Verarbeitung von Daten des Kunden und seiner Endkunden in einer Software, die es Unternehmen ermöglicht ihre Produkte auch zu vermieten statt nur zu verkaufen. Die Software ist eine White-Label Lösung, die entlang der kompletten Wertschöpfungskette im Mietmodell ein kunden-zentrisches Miet-Erlebnis schafft.

(3) Zweck der Datenerhebung, Datenverarbeitung oder Datennutzung

Zur Erfüllung der Pflichten des Auftragnehmers aus dem Hauptvertrag werden personenbezogene Daten aus dem Herrschaftsbereich des Auftraggebers durch den Auftragnehmer vollumfänglich i.S.d. Art. 4 Nr. 2 DSGVO verarbeitet, insbesondere soweit jeweils erforderlich erhoben, gespeichert, verändert, ausgelesen, abgefragt, verwendet, offengelegt, abgeglichen, verknüpft und gelöscht. Der Zweck der Verarbeitung hängt damit von dem jeweils im Hauptvertrag beschriebenen Auftrag ab.

(4) Art der Daten

Die von der Verarbeitung betroffenen Kategorien personenbezogener Daten hängen von der Nutzung der Leistungen des Auftragnehmers durch den Auftraggeber ab. Als Gegenstand der Verarbeitung in Betracht kommende Kategorien von Daten sind die unten genannten Auftraggeberdaten möglich. Eine abschließende Liste aller vom Auftragnehmer verarbeiteten Daten und Auftraggeberdaten liegt der Leistungsbeschreibung unter www.circuly.io/documents/specification-of-services bei.


- Endkundendaten (Name, Email, Telefonnummer, Adresse und jede weitere Information die über Custom Fields im circuly Checkout abgefragt wird)

- Zahlungsdaten (API Key des Payment Service Providers, Zahlungsmethode, ggf. Payment Token)

- Verbindungsdaten (API Key des Shop Systems),

- Nutzungsdaten (z.B. Verlauf Web-Dienste, Zugriffszeiten),

- Verbindungsdaten (z.B. Geräte-ID, IP-Adressen, URL-Referrer), und

- Admin Daten (Mitarbeiter Namen, Rolle, E-Mail, Passwort).

(5) Kreis der Betroffenen

Die von der Verarbeitung betroffenen Kategorien betroffener Personen hängen von der Nutzung der Leistungen des Auftragnehmers durch den Auftraggeber ab. Als Kategorien betroffener Personen kommen dabei in Betracht:

•       Beschäftigte

•       Auszubildende und Praktikanten

•       Kunden / Interessenten                         

•       Lieferanten und Dienstleister     

•       Geschäftspartner

 

 

Unterauftragnehmer

 

Nr.

Name des Unterauftragnehmers Anschrift / Land

Gegenstand des Auftrages

Art- und Umfang der Daten

1

Amazon Web Services EMEA SARL, 38 avenue John F. Kennedy, L-1855 Luxembourg

Zurverfügungstellung von SaaS- Leistungen

Siehe oben zum Gegenstand des Auftrags, gehosted auf Servern innerhalb der EU.

2

Heroku, a Service from Salesforce.com Sarl, Route de la Longeraie 9, Morges, 1110, Switzerland

Zurverfügungstellung von SaaS- Leistungen

Siehe oben zum Gegenstand des Auftrags, gehosted auf Servern innerhalb der EU.

3

Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Germany,

Zurverfügungstellung von SaaS- Leistungen

Siehe oben zum Gegenstand des Auftrags, gehosted auf Servern innerhalb Deutschlands












Anlage 2 - Technische und organisatorische Maßnahmen

Verantwortliche für die Datenverarbeitung sind gem. Art. 32 DSGVO verpflichtet, technische und organisatorische Maßnahmen zu treffen, durch die die Sicherheit der Verarbeitung personenbezogener Daten gewährleistet wird. Maßnahmen müssen dabei so gewählt sein, dass durch sie in der Summe ein angemessenes Schutzniveau sichergestellt wird. Diese Übersicht erläutert vor diesem Hintergrund, welche konkreten Maßnahmen durch den Auftragnehmer im Hinblick auf die Verarbeitung personenbezogener Daten im konkreten Fall getroffen sind.

  

Weisungen zu technischen und organisatorischen Maßnahmen

1. Organisation der Informationssicherheit

Es sind Richtlinien, Prozesse und Verantwortlichkeiten festzulegen, mit denen die Informationssicherheit implementiert und kontrolliert werden kann.

Maßnahmen:

☒ Festlegung der Rollen und Verantwortlichkeiten für Betrieb von Anwendungen und System, Datenschutz und Informationssicherheit.

☒ Verpflichtung der Mitarbeiter auf Geheimhaltung und Wahrung des Datengeheimnisses.

☒ Regelmäßige Durchführung von Schulungen und Awareness-Maßnahmen.

 

2. Privacy by Design

Privacy by Design beinhaltet den Gedanken, dass Systeme so konzipiert und konstruiert sein sollten, dass der Umfang der verarbeiteten personenbezogenen Daten minimiert wird. Wesentliche Elemente der Datensparsamkeit sind die Trennung personenbezogener Identifizierungsmerkmale und der Inhaltsdaten, die Verwendung von Pseudonymen und die Anonymisierung. Außerdem muss das Löschen von personenbezogenen Daten gemäß einer konfigurierbaren Aufbewahrungsfrist realisiert sein.

Maßnahmen:

☒ Es werden nicht mehr personenbezogene Daten erhoben, als für den jeweiligen Zweck erforderlich sind.

☒ Prozess zur Sicherstellung von Privacy by Design bei Einführung oder Änderung von Systemen und Anwendungen.

☒ Die Verarbeitungen und Systeme sind so konzipiert, dass Sie ein DSGVO konformes Löschen der verarbeiteten personenbezogenen Daten ermöglichen und sicherstellen.

3. Privacy by Default

Privacy by Default bezieht sich auf die datenschutzfreundlichen Voreinstellungen / Standardeinstellungen.

Maßnahmen:

☒ Trackingfunktionen, die den Betroffenen überwachen, sind standardmäßig deaktiviert.

☒ Sämtliche Vorbelegungen von Auswahlmöglichkeiten erfüllen die Anforderungen der DSGVO in Bezug auf datenschutzfreundliche Voreinstellungen (z.B. keine Vorbelegungen von Opt-ins).

4. Zugriffskontrolle und Zugangskontrolle

Maßnahmen, die gewährleisten, dass die zur Benutzung der Datenverarbeitungsverfahren Befugten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden personenbezogenen Daten bzw. schutzbedürftigen Informationen und Daten zugreifen können (Beschreibung von systemimmanenten Sicherungsmechanismen, Verschlüsslungsverfahren entsprechend dem Stand der Technik. Bei Online-Zugriffen ist klarzustellen, welche Seite für die Ausgabe und Verwaltung von Zugriffssicherungscodes verantwortlich ist.). Der Auftragnehmer gewährleistet, dass die zur Benutzung von IT-Infrastruktur berechtigten Nutzer ausschließlich auf Inhalte zugreifen können, für welche sie berechtigt sind, und dass personenbezogene Daten bei der Verarbeitung und nach dem Speichern nicht unbefugt kopiert, verändert oder gelöscht werden können.

Maßnahmen:

☒ Berechtigungskonzepte dokumentiert.

☒ Vermeidung von Gruppenusern.

☒ Zugriff auf Daten ist eingeschränkt und nur für Berechtigte möglich.

☒ Anzahl der Administratoren auf das „Notwendigste“ reduziert.

☒ Regelmäßige Überprüfung der Berechtigungen.

5. Kryptographie und / oder Pseudonymisierung

Einsatz von Verschlüsselungsverfahren für die Sicherstellung des ordnungsgemäßen und wirksamen Schutzes der Vertraulichkeit, Authentizität oder Integrität von personenbezogenen Daten bzw. schutzbedürftigen Informationen. Maßnahmen, die geeignet sind, eine Identifikation des Betroffenen zu erschweren.

Maßnahmen:

☒ Verschlüsselung von Endgeräten (PC, Laptop, Smartphones).

☒ Verschlüsselte Ablage von personenbezogenen Daten.

☒ Verschlüsselung von Zugängen zum Netzwerkzugängen und -verbindungen.

☒ Einsatz von Pseudonymen, Verfahren zur Pseudonymisierung und Anonymisierung von Daten. Wir arbeiten mit dem Verschlüsselungsstandard AES-256, der als besonders sicherer Standard gilt.

6. Schutz von Gebäuden

Verhinderung des unautorisierten physischen Zugriffs auf die Informationen und informationsverarbeitende Einrichtungen der Organisation sowie deren Beschädigung und Beeinträchtigung. Der Auftragnehmer trifft Maßnahmen, um zu verhindern, dass unbefugte Personen Zutritt (räumlich zu verstehen) zu Datenverarbeitungsanlagen erhalten mit denen personenbezogene Daten verarbeitet werden.

Der Auftragnehmer sowie seine sämtlichen Angestellten und Freelancer arbeiten fully remote. Das bedeutet, es gibt kein konkretes Gebäude, in dem die Mitarbeiter und Freelancer verpflichtend ihre Leistungen erbringen müssen. Sämtliche Mitarbeiter und Freelancer wurden in umfangreichem Maße auf die Pflicht zum Datenschutz sowie zur Vertraulichkeit in einem dem Schutzniveau dieses Vertrags sowie seiner Anlagen gerecht werdenden Art verpflichtet.

7. Schutz von Betriebsmitteln / Informationswerten

Vorbeugung von Verlust, Beschädigung, Diebstahl oder Beeinträchtigung von Werten und Unterbrechungen der Betriebstätigkeit der Organisation.

Maßnahmen:

☒ Unterbringung der Serverkomponenten in gesicherten Räumen, Schränken etc. (Cloud)

Entsprechende Maßnahmen werden von unseren Unterauftragnehmern, deren SaaS Leistungen wir in Anspruch nehmen, durchgeführt.

8. Betriebsverfahren und Zuständigkeiten

Sicherstellung des ordnungsgemäßen und sicheren Betriebes von Systemen sowie Verfahren zur Verarbeitung von Informationen.

Maßnahmen:

☒ Klare Zuordnung von Verantwortlichkeiten für die System- und Anwendungsbetreuung.

☒ Trennung der Verarbeitung von Daten der einzelnen Mandanten.

☒ Trennung von Entwicklungs-, Test- und Produktivsystemen.

☒ Überwachung des Systembetriebs.

9. Datensicherungen

Maßnahmen, die gewährleisten, dass personenbezogene Daten bzw. schutzbedürftige Informationen und Daten gegen zufällige Zerstörung oder Verlust geschützt sind.

Maßnahmen:

☒ Datensicherungskonzept mit regelmäßigen Backups.

☒ Auslagerung der Backup in andere Brandzonen.

☒ Auslagerung der Backups in andere Gebäude.

10. Schutz vor Malware und Patchmanagement

Verhinderung einer Ausnutzung technischer Schwachstellen durch den Einsatz von aktueller Virenschutzsoftware und die Implementierung eines Patchmanagements.

Maßnahmen:

☒ Regelmäßige Überwachung des Status von Sicherheitsupdates und Systemschwachstellen.

☒ Regelmäßige Einspielen von Sicherheitspatches und Updates.

11. Protokollierung und Überwachung

Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in IT-Systeme eingegeben, verändert oder entfernt worden sind.

Maßnahmen:

☒ Protokollierung von Aktivitäten der Systemadministratoren.

☒ Überwachung der Systemnutzung.

☒ Protokollierung von Zugängen.

12. Netzwerksicherheitsmanagement

Es muss ein angemessener Schutz für das Netzwerk implementiert werden, so dass die Informationen und die Infrastrukturkomponenten geschützt werden.

Entsprechende Maßnahmen werden von unseren Unterauftragnehmern, deren SaaS Leistungen wir in Anspruch nehmen, durchgeführt.

13. Informationsübertragung

Maßnahmen, die gewährleisten, dass personenbezogene Daten bzw. schutzbedürftige Informationen und Daten bei der elektronischen Übertragung oder während ihres Transportes oder ihrer Speicherung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft sowie festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten bzw. schutzbedürftiger Informationen sowie Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.

(Beschreibung der verwendeten Einrichtungen und Übermittlungsprotokolle, z.B. Identifizierung und Authentifizierung, Verschlüsselung entsprechend dem Stand der Technik, automatischer Rückruf, u.a.)

Maßnahmen:

☒ Weitergabe von Daten an Dritte nur nach Prüfung der Rechtsgrundlage.

☒ Rechtmäßigkeit und formgerechte Festlegung der Weitergabe von Daten in Drittländer.

☒ Sichere Datenübertragung zwischen Client und Server.

☒ Angemessener Schutz von Emails, die sensible Informationen / Daten beinhalten.

☒ Einsatz von verschlüsselten externen Zugriffen.

14. Anschaffung, Entwicklung und Instandhaltung von Systemen

Maßnahmen, die sicherstellen, dass Informationssicherheit ein fester Bestandteil über den Lebenszyklus von Informationssystemen ist.

Maßnahmen:

☒ Festlegung von Regelungen für die Entwicklung und Anpassung von Software und Systemen.

☒ Leitlinien zur sicheren Systementwicklung.

☒ Überwachung von ausgelagerten Systementwicklungstätigkeiten.

☒ Schutz von Testdaten.

Entsprechende Maßnahmen werden auch von unseren Unterauftragnehmern, deren SaaS Leistungen wir in Anspruch nehmen, durchgeführt.

15. Lieferantenbeziehungen

Maßnahmen betreffend die Informationssicherheit zur Verringerung von Risiken im Zusammenhang mit dem Zugriff von Lieferanten auf die Werte des Unternehmens, sollten mit Sublieferanten / Subunternehmern vereinbart und dokumentiert werden.

Maßnahmen:

☒ Auswahl des Auftragnehmers unter Sorgfaltsgesichtspunkten (insbesondere hinsichtlich Datensicherheit).

☒ Wirksame Kontrollrechte gegenüber dem Auftragnehmer vereinbart.

☒ Vorherige Prüfung und Dokumentation der beim Auftragnehmer getroffenen Sicherheitsmaßnahmen.

☒ Verpflichtung der Mitarbeiter des Auftragnehmers auf das Datengeheimnis.

☒ Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags.

16. Management von Informationssicherheitsvorfällen

Es sind konsistente und wirksame Maßnahmen für das Management von Informationssicherheitsvorfällen (Diebstahl, Systemausfall etc.) zu implementieren.

Maßnahmen:

☒ Dokumentierte Vorgehensweise zum Umgang mit Sicherheitsvorfällen

☒ Sofortige Information des Auftraggebers bei Datenschutzvorfällen.

☒ Einbindung des Datenschutz- und Informationssicherheitsbeauftragten bei Datenschutzvorfällen.

17. Informationssicherheitsaspekte des Business Continuity Management / Notfallmanagements

Die Aufrechterhaltung der Systemverfügbarkeit in schwierigen Situationen, wie Krisen- oder Schadensfälle.

Ein Notfallmanagement muss dieses sicherstellen. Die Anforderungen bezüglich der Informationssicherheit sollten bei den Planungen zur Betriebskontinuität und Notfallwiederherstellung festgelegt werden.

Maßnahmen:

☒ Einsatz redundanter Systeme.

☒ Einsatz redundanter Systeme an räumlich getrennten Standorten (z.B. Notfall-Rechenzentrum).

☒ Frühzeitige Information des Auftraggebers bei Notfällen.

Entsprechende Maßnahmen werden auch von unseren Unterauftragnehmern, deren SaaS Leistungen wir in Anspruch nehmen, durchgeführt.

18. Einhaltung gesetzlicher und vertraglicher Anforderungen

Implementierung von Maßnahmen zur Vermeidung von Verstößen gegen gesetzliche, amtliche oder vertragliche Verpflichtungen sowie gegen jegliche Sicherheitsanforderungen.

Maßnahmen:

☒ Sicherstellung der Einhaltung der gesetzlichen Verpflichtungen im Rahmen der Zusammenarbeit.

☒ Rückgabe sämtlicher Daten, Betriebsmittel und Informationswerte an den Auftraggeber bei Vertragsende.

☒ Geheimhaltungsverpflichtungen mit Mitarbeitern sowie Sublieferanten und Dienstleistern.

19. Datenschutzanforderungen und Datenschutzmanagement

Die Privatsphäre sowie der Schutz von personenbezogenen Daten sollte entsprechend den Anforderungen der einschlägigen gesetzlichen Regelungen, anderen Vorschriften sowie Vertragsbestimmungen sichergestellt werden.

Maßnahmen:

☒ Verzeichnis der Verarbeitungstätigkeiten.

☒ Datenschutzfolgeabschätzung für Verfahren, die sensible Informationen / Daten verarbeiten.

☒ Aufbau eines Datenschutz-Managementsystems.

☒ Umgesetzte Richtlinien zum Datenschutz.




between

you as a customer

- as the person responsible - hereinafter referred to as the "Client" -


and

circuly GmbH
Obernstraße 50, 33602 Bielefeld, Germany 

- as a processor of orders - hereinafter referred to as "Contractor" -


- Customer  and Contractor hereinafter each also referred to as "Party" and jointly as "Parties” - 



Preamble

The Contractor provides services for the Client in the area of business transactions in accordance with the user contract concluded between them (hereinafter referred to as the "Main Contract"). Part of the execution of the main contract is the processing of personal data within the meaning of the General Data Protection Regulation (“GDPR”, in German: "DSGVO"). In order to meet the requirements of the GDPR for such a set of services, the parties shall conclude the following contract processing agreement, which shall come into effect upon signature of the main contract (contract of usage).


§ 1 Subject/scope of the assignment

(1) Within the scope of the cooperation of the parties in accordance with the main contract, the contractor has access to personal data of the end customer (hereinafter referred to as "customer data"). The Contractor shall process this customer data on behalf of and in accordance with the instructions of the Client in accordance with Art. 4 No. 8 and Art. 28 GDPR or any equivalent replacement or updated legislation.

(2) The processing of the customer data by the Contractor shall be carried out in the manner described in Annex 1 and to the extent and for the purpose specified therein. The group of persons affected by the data processing is shown. The duration of the processing corresponds to the term of the main contract. Whether the Contractor's services are suitable for the processing of special categories of personal data pursuant to Art. 9 (1) DSGVO requires a risk assessment by the Client.

(3) The Client is prohibited from processing customer data in a manner deviating from the processing specified in Annex 1.

(4) The processing of the customer data shall generally take place in the territory of the Federal Republic of Germany, in a member state of the European Union or in another state party to the Agreement on the European Economic Area. Should there be a relocation of the commissioned processing to a third country, this shall require the prior consent of the Client and shall only take place if the special requirements of Art. 44 to 49 DSGVO are met. The Client already consents to the processing of personal data by the subcontractors named in Annex 1 upon conclusion of this commissioned processing agreement.

(5) The provisions of this contract shall apply to all activities related to the main contract. The same shall apply to all activities in which the Contractor and its employees or persons commissioned by the Contractor come into contact with customer data.


§ 2 Powers of instruction of the client

(1) The Contractor shall process the Client Data within the scope of the commission and on behalf of and in accordance with the instructions of the Client within the meaning of Art. 28 DSGVO (commissioned processing). The Client has the sole right to issue instructions on the type, scope and method of the processing activities (hereinafter also referred to as "right to issue instructions"). If the Contractor is required by the law of the European Union or the Member States to which it is subject to carry out further processing, it shall notify the Client of these legal requirements prior to the processing.

(2) Instructions shall generally be issued by the Client in writing or in electronic form (e-mail is sufficient); instructions issued verbally shall be confirmed by the Contractor in electronic form.                               

(3) If the Contractor is of the opinion that an instruction of the Client violates data protection provisions, it shall notify the Client thereof. The Contractor shall be entitled to suspend the implementation of the relevant instruction until it is confirmed or amended by the Client.


§ 3 Contractor's protective measures

(1) The Contractor shall be obligated to observe the statutory provisions on data protection and not to disclose information obtained from the Client's domain to third parties or expose it to their access. Documents and data shall be secured against disclosure to unauthorized persons, taking into account the state of the art.

(2) Furthermore, the Contractor shall oblige all persons entrusted by it with the processing and fulfillment of this Agreement (hereinafter referred to as "Employees") to maintain confidentiality (obligation to maintain confidentiality, Art. 28 Para. 3 lit. b DSGVO). Upon request of the Client, the Contractor shall provide the Client with evidence of the obligation of the Employees in writing or in electronic form.

(3) The Contractor shall design its internal organization in such a way that it meets the special requirements of data protection. It undertakes to take all appropriate technical and organizational measures for the adequate protection of the Customer Data pursuant to Art. 32 DSGVO, in particular the measures listed in Annex 2 to this Agreement, and to maintain them for the duration of the processing of the Customer Data.

(4) The Contractor reserves the right to change the technical and organizational measures taken, while ensuring that the contractually agreed level of protection is not undercut.

(5) At the request of the Client, the Contractor shall provide the Client with evidence of compliance with the technical and organizational measures.


§ 4 Information and support obligations of the contractor

(1) In the event of disruptions, suspicion of data protection violations or violations of contractual obligations of the Contractor, suspicion of security-relevant incidents or other irregularities in the processing of the Customer Data by the Contractor, persons employed by it within the scope of the contract or by third parties, the Contractor shall inform the Client in writing or electronically without undue delay, but no later than within 48 hours. The same shall apply to audits of the Contractor by the data protection supervisory authority. These notifications should in each case contain at least the information specified in Art. 33(3) DSGVO.

(2) In the aforementioned case, the Contractor shall support the Client in the fulfillment of its educational, remedial and informational measures in this regard to the extent reasonable.

(3) The Contractor undertakes to provide the Client, at the latter's request and within a reasonable period of time, with all information and evidence required to carry out an inspection.


§ 5 Other obligations of the contractor

(1) If the requirements of Art. 30 GDPR apply to the Contractor, the Contractor shall be obliged to keep a register of all categories of processing activities carried out on behalf of the Client pursuant to Art. 30 (2) GDPR. The directory shall be made available to the Customer upon request.

(2) The Contractor shall be obliged to support the Client in the preparation of a data protection impact assessment pursuant to Art. 35 GDPR and any prior consultation with the supervisory authority pursuant to Art. 36 GDPR.

(3) The Contractor confirms that it has appointed a data protection officer - insofar as there is a legal obligation to do so.

(4) Should the Customer Data at the Contractor be endangered by attachment or seizure, by insolvency or composition proceedings or by other events or measures of third parties, the Contractor shall inform the Client thereof without undue delay, unless it is prohibited from doing so by court or administrative order. In this context, the Contractor shall immediately inform all competent bodies that the decision-making authority over the data lies exclusively with the Client as the "responsible party" within the meaning of the GDPR.


§ 6 Subcontracting

(1) The Contractor may have the Processing of Personal Data performed in whole or in part by additional Processors (hereinafter "Subcontractors"). The Contractor shall inform the Client in text form in good time in advance about the commissioning of subcontractors or changes in the subcontracting. The Customer may object to the subcontracting in text form within four weeks of becoming aware of it if there are objective reasons for doing so.

(2) A subcontractor relationship within the meaning of these provisions shall not exist if the Contractor commissions third parties with services which are to be regarded as purely ancillary services. These include, for example, postal, transport and shipping services, cleaning services, security services, telecommunication services without any specific reference to services provided by the Contractor to the Client as well as other measures to ensure the confidentiality, availability, integrity and resilience of the hardware and software of data processing systems. The obligation of the Contractor to ensure compliance with data protection and data security also in these cases shall remain unaffected.

(3) The Contractor shall agree with the subcontractor on the content of the provisions made in this Agreement. In particular, the TOM (Technical and Organizational Measures) to be agreed with the subcontractor must provide an equivalent level of protection.

(4) The Contractor has established subcontractor relationships with the companies listed in Annex 1, to which the Customer consents upon conclusion of this Agreement.

(5) The Contractor has concluded order processing agreements with the subcontractors in accordance with the requirements of Section 6 (3). The Customer shall approve the aforementioned subcontractors upon this Agreement becoming effective.

Part of the order processing agreements with the subcontractors is in particular that the subcontractors ensure that they have taken appropriate and suitable technical and organizational measures in accordance with Art. 32 GDPR with regard to the processing of personal data carried out by them on behalf.


§ 7 Control rights

(1) The customer is entitled to regularly satisfy himself that the regulations of this contract are being observed. For this purpose, he may, for example, obtain information from the contractor, have existing attestations from experts, certifications or internal tests presented to him or have the contractor's technical and organizational measures checked personally or by a competent third party during normal business hours, provided that the latter is not in a competitive relationship with the contractor.

(2) The Customer shall only carry out inspections to the extent necessary and shall take appropriate account of the Contractor's operating procedures. The parties shall agree on the time and type of inspection in good time.

(3) The customer shall document the results of the inspection and notify the contractor. In the event of errors or irregularities which the Customer discovers, in particular during the inspection of order results, he must inform the Contractor without delay. If the inspection reveals facts whose future avoidance requires changes to the ordered procedure, the Customer shall inform the Contractor immediately of the necessary procedural changes.


§ 8 Rights of affected persons

(1) The Contractor shall support the customer as far as possible with suitable technical and organisational measures in the fulfilment of the customer’s obligations under Articles 12 to 22 and Articles 32 to 36 GDPR. He shall provide the Customer with the requested information on Customer data without delay, but at the latest within 14 working days, unless the Customer himself has the relevant information at his disposal.

(2) If the person concerned asserts his rights in accordance with Art. 16 to 18 GDPR, the Contractor is obliged to correct, delete or restrict the customer’s data on the customer’s instructions without delay, at the latest within a period of 7 working days. The Contractor shall provide the customer with written proof of the deletion, correction or restriction of the data upon request.

(3) If a data subject asserts rights, such as the right to information, correction or deletion of his data, directly against the contractor, the contractor will forward this request to the customer and awaits his instructions. Without such individual instructions, the Contractor shall not contact the data subject.


§ 9 Duration and termination

The term of this agreement corresponds to the term of the main agreement. If the main contract can be terminated in an orderly manner, the provisions on orderly termination shall apply accordingly. 


§ 10 Cancellation and return after contract end

(1) After termination of the main contract or at any time at the request of the Customer, the Contractor shall return to the Customer all documents, data and data carriers made available to him or, at the request of the Customer, delete them completely and irrevocably, unless a statutory retention period exists. This shall also apply to copies of the Customer's data at the Contractor's premises, such as data backups, but not to documentation that serves to prove that the Customer's data has been processed in accordance with the order and in the proper manner. Such documentation shall be kept by the Contractor for a period of 6 months and shall be handed over to the customer upon request.

(2) The Contractor shall confirm the deletion to the customer electronically. The Customer has the right to control the complete and contractually compliant return or deletion of the data at the Contractor in a suitable manner.

(3) The Contractor shall be obliged to treat confidentially the data which have become known to him in connection with the main contract even after the end of the main contract.


§ 11 Liability

(1) The liability of the parties is governed by Art. 82 GDPR. Any liability of the Contractor towards the customer due to breach of obligations arising from this contract or the main contract remains unaffected.

(2) The parties shall each release themselves from liability if a party proves that it is not responsible in any respect for the circumstance as a result of which the damage occurred to an affected party. This shall apply mutatis mutandis in the case of a fine imposed on a party, whereby the indemnification shall be made to the extent that the respective other party bears a share of the responsibility for the violation sanctioned by the fine.


§ 12 Confidentiality & data security

(1) The Contractor undertakes to observe the same rules for the protection of secrets as are incumbent on the Client.

(2) There shall be a duty of confidentiality for the Contractor's employees and third parties commissioned by the Contractor. The Contractor shall impose a written confidentiality obligation on the persons employed in the processing of Client Data pursuant to Art. 28 (3) lit. b DSGVO. This is not necessary if the persons employed are already subject to an appropriate statutory duty of confidentiality. The Contractor shall document the obligation set forth in this clause in writing and submit it to the Client upon the Client’s request.

(3) The Contractor confirms that it is aware of the relevant data protection regulations. The Contractor warrants that it will familiarize the employees engaged in the performance of the work with the data protection provisions applicable to them and that it will oblige them to comply with the applicable data protection provisions. He shall monitor compliance with the data protection regulations.

(4) The confidentiality obligations regulated in this clause shall continue to apply after termination of the contractual relationship.

(5) Furthermore, in addition to the applicable statutory provisions (in particular § 88 TKG, § 203 StGB, §§ 4, 23 GeschGehG and, if applicable, special professional confidentiality obligations), the Contractor shall also be obligated to keep secret and not disclose to third parties all information and data of which it becomes aware within the scope of the contractually agreed services (confidential information). Confidential information is in particular business and trade secrets, contract conclusions, technical or commercial information of any kind or other information which is designated as confidential or which by its nature is to be regarded as confidential. This also applies in particular to:

Names, addresses as well as the personal, legal and economic circumstances of all customers of the Client and the personal, legal and economic circumstances of the Client and all other persons working for the Client.

Information shall not be considered confidential if it was already publicly known at the time the information came to the knowledge of the Contractor. Likewise, information that has become publicly known or has been made publicly known at a later time with the consent of the Client shall not be considered confidential.

The Contractor undertakes to oblige all employees who gain knowledge of the aforementioned confidential information of the Client in the course of their work for the Client to do the same as himself.

(6) If the Contractor commissions third parties, it shall ensure that the requirements of paragraphs 1 to 5 are implemented accordingly.


§ 13 Final provisions

(1) The parties agree that the defence of a right of retention by the contractor in the sense of § 273 BGB (German Civil Code) with regard to the data to be processed and the associated data carriers is excluded.

(2) Changes and amendments to this agreement must be made in electronic form. 

(3) In case of doubt, the provisions of this agreement shall take precedence over the provisions of the main contract. Should individual provisions of this agreement prove to be wholly or partially invalid or unenforceable or become invalid or unenforceable as a result of changes in legislation after conclusion of the contract, the validity of the remaining provisions shall not be affected. The invalid or unenforceable provision shall be replaced by a valid and enforceable provision which comes as close as possible to the meaning and purpose of the invalid provision.

(4) This agreement is subject to German law. Exclusive place of jurisdiction is the registered office of the contractor.

 

Annexes   

Annex 1       Specifications to the contract

Annex 2       Technical and organisational measures taken by the Contractor (Art. 32 GDPR)


















Annex 1       Specifications to the contract


 

  Subject and duration of the order

  Overview of requirements and specifications

(1) Main contract

Licence contract

(2) Subject of the order

Processing of data from the client and their end customers in a software that enables companies to also rent out their products instead of just selling them. The software is a white-label solution that creates a customer-centric rental experience along the entire value chain in the rental model.

(3) Purpose of data collection, data processing or data use

In order to fulfill the obligations of the Contractor arising from the main contract, personal data from the Client's sphere of control shall be processed by the Contractor to the full extent within the meaning of Art. 4 No. 2 of the German Data Protection Regulation (DSGVO), in particular collected, stored, changed, read out, queried, used, disclosed, compared, linked and deleted as necessary in each case. The purpose of the processing thus depends on the respective order described in the main contract.

(4) Type of data

The categories of personal data concerned by the processing depend on the use of the Contractor's services by the Client. The categories of data that may be considered as the subject of processing are the Client Data mentioned below. A final list of all data processed by the Contractor and Client Data is attached to the Description of Services at www.circuly.io/documents/specification-of-services.


- End customer data (name, email, phone number, address and any other data that is put in the circuly checkout)

- Payment data (API key of the payment service provider, payment method, payment token if applicable)

- Connection data (API key of the store system),

- Usage data (e.g. history of web services, access times),

- Connection data (e.g. device ID, IP addresses, URL referrers), and

- Admin data (employee name, role, email, password).


(5) Circle of affected persons

The categories of data subjects concerned by the processing depend on the use of the Contractor's services by the Client. The categories of data subjects that may be considered are:

- Employees

- Trainees and interns

- Customers / Interested parties                         

- Suppliers and service providers     

- Business partners

 

 

Subcontractor

 

No.

Name of the subcontractor Address / Country

Subject of the order

Nature and scope of the data

1

Amazon Web Services EMEA SARL, 38 avenue John F. Kennedy, L-1855 Luxembourg

Provision of SaaS services

See above for the subject of the order, hosted on servers within the EU.

2

Heroku, a Service from Salesforce.com Sarl, Route de la Longeraie 9, Morges, 1110, Switzerland

Provision of SaaS services

See above for the subject of the order, hosted on servers within the EU.

3

Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Germany,

Provision of SaaS services

See above for the subject of the order, hosted on servers within Germany.














Annex 2       Technical and organisational measures taken by the Contractor (Art. 32 GDPR)


Pursuant to Article 32 of the GDPR, data controllers are obliged to take technical and organizational measures to ensure the security of the processing of personal data. Measures must be selected in such a way that, taken together, they ensure an appropriate level of protection. Against this background, this overview explains which concrete measures have been taken by the Contractor with regard to the processing of personal data in the specific case.

  

Instructions on technical and organizational measures

1. Organisation of Information Security

Policies, processes and responsibilities must be defined to implement and control information security.

Measures:

☒ Definition of roles and responsibilities for application and system operation, data protection, and information security.

☒ Obligation of employees to maintain confidentiality and data secrecy.

☒ Regular implementation of training and awareness measures.

 

2. Privacy by Design

Privacy by design includes the idea that systems should be designed and constructed in such a way that the amount of personal data processed is minimized. Essential elements of data economy are the separation of personal identifiers and content data, the use of pseudonyms, and anonymization. In addition, the deletion of personal data must be implemented in accordance with a configurable retention period.

Measures:

☒ No more personal data is collected than is necessary for the respective purpose.

☒ Process to ensure privacy by design when introducing or modifying systems and applications.

☒ The processing operations and systems are designed in such a way that they enable and ensure deletion of the personal data processed in compliance with the GDPR.


3. Privacy by Default

Privacy by Default refers to the privacy-friendly default settings / standard settings.

Measures:

☒ Tracking functions that monitor the data subject are disabled by default.

☒ All default settings for selection options meet the requirements of the GDPR with regard to privacy-friendly default settings (e.g., no default settings for opt-ins).

4. Access control

Measures to ensure that those authorized to use the data processing procedures can only access the personal data or information and data requiring protection that are subject to their access authorization (description of security mechanisms inherent in the system, encryption procedures in accordance with the state of the art. In the case of online access, it shall be made clear which side is responsible for issuing and managing access security codes). The Contractor shall ensure that users authorized to use IT infrastructure can only access content for which they are authorized and that personal data cannot be copied, modified or deleted without authorization during processing and after storage.

Measures:

☒ Authorization concepts documented.

☒ Avoidance of group users.

☒ Access to data is restricted and only possible for authorized persons.

☒ Number of administrators reduced to the "bare minimum".

☒ Regular review of authorizations.

5. Cryptography and / or pseudonymization

Use of encryption procedures to ensure the proper and effective protection of the confidentiality, authenticity or integrity of personal data or information requiring protection.

Measures that are likely to make identification of the data subject difficult.

Measures:

☒ Encryption of end devices (PC, laptop, smartphones).

☒ Encrypted storage of personal data.

☒ Encryption of access to network access and connections.

☒ Use of pseudonyms, procedures for pseudonymization and anonymization of data. We work with the AES-256 advanced encryption standard, which is considered a particularly secure standard.

6. Building protection

Preventing unauthorized physical access to, damage to and impairment of the organization's information and information processing equipment. The Contractor shall take measures to prevent unauthorized persons from gaining access (to be understood spatially) to data processing equipment with which personal data are processed.

The contractor and all his employees and freelancers work fully remotely. This means that there is no specific building in which the employees and freelancers are obligated to perform their services. All employees and freelancers have been extensively committed to the obligation of data protection as well as confidentiality in a manner that is commensurate with the level of protection of this contract as well as its annexes.

7. Protection of operating resources / information assets

Prevention of loss, damage, theft or impairment of assets and disruption of the organization's operations.

Measures:

☒ Placement of server components in secured rooms, cabinets, etc. (Cloud)

Corresponding measures are carried out by our subcontractors whose SaaS services we use.

8. Operating procedures and responsibilities

Ensure proper and secure operation of systems and procedures for processing information.

Measures:

☒ Clear assignment of responsibilities for system and application support.

☒ Separation of the processing of data from the individual clients.

☒ Separation of development, test, and production systems.

☒ Monitoring of system operation.

9. Data security

Measures to ensure that personal data or information and data requiring protection are protected against accidental destruction or loss.

Measures:

☒ Data backup concept with regular backups.

☒ Outsourcing of backups to other fire zones.

☒ Outsourcing of backups to other buildings.

10. Malware protection and patch management

Preventing exploitation of technical vulnerabilities by using up-to-date antivirus software and implementing patch management.

Measures:

☒ Regular monitoring of the status of security updates and system vulnerabilities.

☒ Regularly apply security patches and updates.

11. Logging and monitoring

Measures to ensure that it is possible to check and determine retrospectively whether and by whom personal data has been entered into, modified or removed from IT systems.

Measures:

☒ Logging of activities of system administrators.

☒ Monitoring of system usage.

☒ Logging of accesses.

12. Networks Security Management

Adequate protection for the network must be implemented so that the information and infrastructure components are protected.

Corresponding measures are carried out by our subcontractors whose SaaS services we use.

13. Information transmission

Measures to ensure that personal data or information requiring protection and data cannot be read, copied, modified or removed by unauthorized persons during electronic transmission or during their transport or storage on data carriers, and that it is possible to check and determine to which bodies a transmission of personal data or information requiring protection and data is intended by data transmission facilities.

(Description of the facilities and transmission protocols used, e.g. identification and authentication, encryption in accordance with the state of the art, automatic call-back, etc.).

Measures:

☒ Disclosure of data to third parties only after verification of the legal basis.

☒ Legality and proper definition of the transfer of data to third countries.

☒ Secure data transmission between client and server.

☒ Appropriate protection of emails containing sensitive information / data.

☒ Use of encrypted external access.

14. Acquisition, development and maintenance of systems

Measures to ensure that information security is an integral part across the information systems lifecycle.

Measures:

☒ Definition of regulations for the development and adaptation of software and systems.

☒ Guidelines for safe system development.

☒ Monitoring of outsourced system development activities.

☒ Protection of test data.

Corresponding measures are also carried out by our subcontractors whose SaaS services we use.

15. Supplier Relations

Measures concerning information security to reduce risks related to suppliers' access to the company's assets should be agreed with sub-suppliers / subcontractors and documented.

Measures:

☒ Selection of the contractor under due diligence aspects (in particular with regard to data security).

Effective control rights vis-à-vis the contractor agreed.

Prior review and documentation of the security measures taken by the contractor.

☒ Obligation of the contractor's employees to maintain data secrecy.

☒ Ensuring the destruction of data after completion of the order.

16. Information security incident management

Consistent and effective measures for managing information security incidents (theft, system failure, etc.) shall be implemented.

Measures:

☒ Documented procedure for handling security incidents

☒ Immediate information of the client in the event of data protection incidents.

Involvement of the data protection and information security officer in the event of data protection incidents.

17. Information security aspects of business continuity management / emergency management

Maintaining system availability in difficult situations, such as crisis or damage events.

Emergency management must ensure this. The requirements regarding information security should be defined in the planning for business continuity and disaster recovery.

Measures:

☒ Use of redundant systems.

☒ Use of redundant systems at physically separate locations (e.g., emergency data center).

☒ Early information of the client in case of emergencies.

Corresponding measures are also carried out by our subcontractors whose SaaS services we use.

18. Compliance with legal and contractual requirements

Implement measures to prevent violations of legal, official or contractual obligations and any safety requirements.

Measures:

☒ Ensuring compliance with legal obligations within the scope of the cooperation.

☒ Return of all data, resources and information assets to the client at the end of the contract.

☒ Confidentiality obligations with employees as well as subcontractors and service providers.

19. Data protection requirements and data protection management

Privacy as well as protection of personal data should be ensured in accordance with the requirements of relevant legal regulations, other regulations as well as contractual provisions.

Measures:

☒ Directory of processing activities.

☒ Data protection impact assessment for processes that handle sensitive information/data.

☒ Establishment of a data protection management system.

☒ Data protection guidelines implemented.